麒麟勒索病毒组织
麒麟(又名 Agenda、Gold Feather 和 Water Galura)已发展成为当今最活跃的勒索软件即服务 (RaaS) 组织之一。自 2025 年初以来,该组织每月发布超过 40 个受害者信息(1 月份是唯一的例外),6 月份的泄漏站点记录达到峰值,约为 100 个,8 月和 9 月分别记录了 84 个受害者信息。麒麟自 2022 年 7 月左右开始活跃,其攻击速度和攻击策略使其成为全球企业面临的高风险威胁。
目录
谁受到了打击——地理和行业
事件遥测分析显示,麒麟的受害者集中在北美和西欧,其中美国、加拿大、英国、法国和德国是受影响最严重的国家。该组织青睐某些垂直行业:制造业约占观察到目标的23%,专业和科学服务约占18%,批发贸易约占10%。
初始访问和早期立足点
调查人员认为,麒麟公司旗下的许多入侵事件都始于从暗网存储库获取的泄露的管理凭证。攻击者使用这些凭证通过VPN接口登录,然后与域控制器和其他受感染的端点建立RDP连接。之后,他们开始进行环境映射和更深入的侦察。
凭证收集和工具
麒麟攻击活动广泛使用凭证收集工具和技术。运营者和关联人员会运行 Mimikatz 以及 WebBrowserPassView.exe、BypassCredGuard.exe 和 SharpDecryptPwd 等实用程序,从浏览器、系统存储和其他应用程序中窃取机密信息。收集到的凭证会使用 Visual Basic 脚本泄露到外部 SMTP 服务器。在野外观察到的 Mimikatz 使用行为包括:
- 清除 Windows 事件日志并删除痕迹;
- 启用 SeDebugPrivilege;
- 从 SQLite 数据库中提取已保存的 Chrome 密码;
- 恢复以前登录的凭证;以及
- 收集 RDP、SSH 和 Citrix 的配置和凭证。
土地自给自足和合法工具被滥用
威胁行为者将明显的恶意软件与合法的系统实用程序和知名的管理工具混合在一起,以达到隐藏的目的。他们被发现使用 mspaint.exe、notepad.exe 和 iexplore.exe 打开文件,手动检查内容中的敏感信息,并使用真正的 Cyberduck 客户端将选定的文件传输到远程服务器,同时隐藏恶意意图。
如何利用被盗凭证
一旦掌握了凭证,麒麟攻击者就会提升权限并横向扩散。提升的访问权限已被用于安装各种远程监控和管理 (RMM) 和远程访问产品——AnyDesk、Chrome 远程桌面、Distant Desktop、GoToDesk、QuickAssist 和 ScreenConnect——尽管研究人员 (Talos) 无法确定每种产品主要用于横向移动还是持续远程控制。
逃避、持久性和后期利用
为了逃避检测,攻击者会执行 PowerShell 序列来禁用 AMSI、关闭 TLS 证书验证并启用受限管理员模式。他们还会部署类似 kill-switch 的实用程序,例如 dark-kill 和 HRSword,以终止安全产品。为了保持持久性和隐蔽的命令与控制,他们使用 Cobalt Strike 和 SystemBC。
勒索软件部署和清理
最后阶段是部署麒麟勒索软件:加密文件、将勒索信放入加密文件夹中、擦除 Windows 事件日志、删除卷影复制服务 (VSS) 创建的所有卷影副本,以阻止恢复工作。
高级混合攻击链(Windows 上的 Linux 二进制文件 + BYOVD)
一些复杂的麒麟攻击事件结合了多种先进技术。攻击者部署了一个在 Linux 上编译的勒索软件二进制文件,并在 Windows 主机上执行,将该有效载荷与“自带易受攻击的驱动程序”(BYOVD)技术配对以禁用防御措施,并使用合法的 IT 管理工具在环境中移动并执行有效载荷。在这些攻击中,eskle.sys 驱动程序被观察到是用于禁用安全控制、终止进程和逃避检测的易受攻击的驱动程序组件。
备份目标和定制凭证盗窃
麒麟专门针对 Veeam 备份基础架构发起攻击。攻击者使用专门的凭证提取工具针对备份数据库窃取凭证,系统性地入侵组织的灾难恢复平台,然后投放勒索软件,大大增加了受害者的风险。
网络钓鱼和伪造验证码传递机制
除了有效的账户滥用之外,某些入侵行为还始于鱼叉式网络钓鱼或托管在 Cloudflare R2 上的 ClickFix 式伪造验证码页面。这些页面似乎会传递信息窃取工具的有效载荷,用于窃取凭证,然后重新使用这些凭证来获取初始网络访问权限。
观察到的关键技术和基础设施包括:
- 部署 SOCKS 代理 DLL 以实现远程访问和命令执行。
- 滥用 ScreenConnect 运行发现命令和网络扫描工具来定位横向移动目标。
- 针对 Veeam 备份系统从多个数据库中提取备份凭据。
- 在 BYOVD 攻击中使用 eskle.sys 驱动程序来中和安全软件并终止防御进程。
- 部署 PuTTY SSH 客户端以横向移动到 Linux 主机。
- 跨不同目录运行 SOCKS 代理实例,以通过 COROXY 后门混淆 C2 流量。
- 使用 WinSCP 将 Linux 勒索软件二进制文件移动到 Windows 系统上。
- 利用 Splashtop Remote 的 SRManager.exe 直接在 Windows 机器上执行 Linux 勒索软件二进制文件。
跨平台影响和虚拟化目标
Linux 二进制文件具有跨平台功能:单个有效载荷即可同时影响环境中的 Linux 和 Windows 系统。最近,Qilin 样本已更新,可检测 Nutanix AHV 环境,这表明该组织正在将目标范围从传统的 VMware 部署扩展到现代超融合基础架构。
概括
麒麟的行动结合了凭证窃取、合法管理工具滥用、自带虚拟机 (BYOVD) 技术、针对备份系统的定向攻击以及跨平台勒索软件,旨在最大限度地扩大影响并规避检测。防御者应优先考虑凭证安全、远程访问接口的多因素身份验证、备份系统的隔离、对合法远程管理工具的异常使用进行严格监控,以及控制措施以检测基于驱动程序的自带虚拟机 (BYOVD) 活动。这些措施可以降低凭证窃取或单点入侵导致全面部署勒索软件的可能性。
